Data: 2010-08-10 06:56:50 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Z banków, ze znanych mi, które są powiedzmy podatne na tego typu "koncepcje": Alior, Eurobank, Inteligo, mBank/Multi BZWBK, DBnet, OpenF, Polbank - tutaj nie mam pewności Co do banków, które na pierwszej stronie mają login i jak podamy go poprawnie, to wtedy pokazuje się następna strona z hasłem. Tutaj jest chyba nawet łatwiej, bo jeżeli zgadniemy login, to wtedy mamy pewność, że uda nam się zablokować konto. Próbowałem właśnie na stronie nordeasolo zgadnąć jakiś login i po bodajże 7 próbach nie zostałem zablokowany. Ciekawe czy banki mają jakieś przygotowane procedury na tego typu "koncepcje" czy dopiero coś powstanie jak pojawi się realne zagrożenie. -- xbartx |
|
Data: 2010-08-10 15:14:29 | |
Autor: Piotr Gałka | |
Zablokowanie dostępu przez www do konta w banku | |
Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i3qt7i$6cs$2inews.gazeta.pl...
Logując się do banku po długiej przerwie (loginu nie pamiętam) musiałem coś pomylić przepisując go bo zażądał ode mnie kodu z tokena, a takiego nie posiadam. Stąd wniosek, że trafiłem za pierwszym razem w jakiś prawidłowy login (login to 8 cyfr - czyli zaledwie nieco ponad 26 bitów, w czasach, gdy kryptografia 64 bitowa przechodzi do przeszłości). Według mnie system nie powinien ujawniać żadnych pośrednich informacji. Strona logowania powinna pozwolić jedynie sprawdzić, czy podany zestaw login/hasło jest prawidłowe, ale żadnej innej informacji nie powinno dać się uzyskać - czyli nawet czas reakcji systemu nie powinien ujawniać, czy błąd wykryto w loginie, czy haśle. Wolę nie sprawdzać, czy po 3 próbach zablokuje mi się dostęp, ale w przypadku, gdy login/hasło ma zbyt mało entropii elementem skutecznie broniącym system przed włamaniami jest ograniczenie pasma (sądząc po szybkości działania systemów niektórych banków wzięły one to poważnie pod uwagę). Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że po 3-ciej błędnej próbie następuje blokada na minutę (każde logowanie (nawet prawidłowe) na ten login zostanie odrzucone). Po tej minucie każda błędna próba przedłuża ten czas o kolejną minutę, a prawidłowa działa. Można to zrobić nie ujawniając czy login prawidłowy, czy nie. Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie byłoby jak sprawdzić, które prawidłowe. P.G. |
|
Data: 2010-08-10 18:28:33 | |
Autor: mx | |
Zablokowanie dostępu przez www do konta w banku | |
W Aliorze zmieniła mi się tylko jedna cyferka, z 2 na 3 i login też był dobry, otworzyła się strona z hasłem. Tylko mojego kota nie było.
Dalsze próby wykazały, że to nie takie proste. Wpisując dowolne loginy otwiera się zawsze ta sama strona. Taka pułapka na złych ludzi. |
|
Data: 2010-08-10 19:17:33 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Tue, 10 Aug 2010 15:14:29 +0200, Piotr Gałka napisał(a):
Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że Nie wiem dlaczego każdy rozpatruje to w kwestiach próby zalogowania się do danego konta. Tutaj zupełnie o to nie chodzi. Co z tego, że po 3 próbach będzie zablokowany dostęp na minutę czy tam XX minut. To jest mało istotne. Każdy nazwijmy to "atakujący" komputer wykona jedną prostą czynność typu na login 12345678 poda hasło X i zrobi to 3 razy i nic więcej. Jeżeli uda mu się znowu logować, to zaloguje się na login 98765432 z hasłem X także 3 razy itd itd. Chodzi o zablokowanie jak największej ilości kont. O to i aż o to. I w tym przypadku rozpatruję czy banki jakoś się zabezpieczają przed tego typu atakami, które chyba raczej jeszcze nie miały miejsca ale to wcale nie znaczy, że się wydarzyć nie mogą ;) -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2010-08-11 11:07:15 | |
Autor: Piotr Gałka | |
Zablokowanie dostępu przez www do konta w banku | |
Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i3s8kc$564$1news.net.icm.edu.pl...
Nie wiem jak to wyczytałeś z tego co napisałem. Tutaj zupełnie o to nie chodzi. Co z tego, że po 3 Właśnie to, że na minutę (czy XX minut) a nie na stałe jest bardzo istotne. Każdy nazwijmy to "atakujący" komputer wykona jedną prostą Jakie jest prawdopodobieństwo, że akurat w minutę po tym prawdziwy posiadacz loginu 12345678 będzie się próbował zalogować ? Jeżeli uda mu się znowu logować, to zaloguje się na login Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś konta. P.G. |
|
Data: 2010-08-11 10:32:22 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a):
Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka. Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę przy pomocy botnetu zablokować jak największą ilość kont klientów danego banku co może pociągnąć na sobą konkretne skutki. -- xbartx |
|
Data: 2010-08-11 13:18:21 | |
Autor: Piotr Gałka | |
Zablokowanie dostępu przez www do konta w banku | |
Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i3tu7m$619$1inews.gazeta.pl... Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a):To jest jasne cały czas. Na moje wyczucie system akceptujący do 10 000 logowań na minutę będzie (w normalnym użytkowaniu) postrzegany przez klientów jako chodzący sprawnie. Jeśli moje oszacowanie jest prawidłowe to nie ma powodu, aby system banku udostępniał na zewnątrz (niezależnie od ilości atakujących go komputerów) większej przepustowości (upraszczam tylko do samych logowań). Przy moich założeniach (blokowanie konta tylko na minutę) wykorzystując całe to pasmo można wykonać w ciągu minuty 10 000 prób logowań blokując w ten sposób 3 333 loginów. Jeśli tylko co tysięczny byłby prawdziwy to oznaczało by praktycznie zablokowanie na stałe zaledwie 3 kont. Gdyby natomiast dało się sprawdzić które loginy odpowiadają konkretnym kontom dało by się zablokować na stałe 3 333 konta. Ta różnica jest powodem dla którego napisałem: "dużej liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie byłoby jak sprawdzić, które prawidłowe." Sądzę, że w tej wypowiedzi jasno widać, że chodzi o prawidłowe loginy, a nie o prawidłowe logowania. Jeśli założyć, że ktoś potrafi przejąć całe pasmo udostępnione przez system to kwestia ile kont zablokuje przestaje mieć znaczenie bo i tak nikt się nie zaloguje;-). P.G. |
|
Data: 2010-08-11 15:32:32 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Wed, 11 Aug 2010 13:18:21 +0200, Piotr Gałka napisał(a):
To jest jasne cały czas. Widzisz, mam wrażenie, że rozpatrujesz to dalej, jako jednostkowy atak, który ma się odbyć w jak najkrótszym czasie ale nie o to chodzi. Jeżeli chciałbym do zrobić w minutę to po prostu poszedłby DDOS i tyle ;) Próba nieudanych logowań może trwać powiedzmy przez dwa tygodnie (albo i dłużej) czyli im dłużej tym większe prawdopodobieństwo, że logowanie będzie celne przy strzelaniu losowo. Jeżeli bank umożliwiałby potwierdzenie, który login jest używany wtedy można tworzyć bazę takich loginów. Z technicznego punktu widzenie obrona banku przed takim, jak to nazwałem "atakiem", jest w zasadzie mocno ograniczona, bo ciężko mi sobie wyobrazić aby bank tworzył listę IP, które mają/nie mają dostęp do logowania a na 3 próby musi zezwolić aby móc według procedury zablokować konto. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2010-08-12 11:08:05 | |
Autor: Piotr Gałka | |
Zablokowanie dostępu przez www do konta w banku | |
Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i3ufqg$9j7$1news.net.icm.edu.pl... Dnia Wed, 11 Aug 2010 13:18:21 +0200, Piotr Gałka napisał(a):Ja rozpatruję atak wieczysty, ale wymagający powtórzenia całej sekwencji co minutę, aby utrzymać blokady aktywne. Jednocześnie zakładam, że system nie pozwoli odkryć prawdziwych loginów więc blokowane będzie tyle ile się da, ale bez gwarancji, że są istniejące. Ja nie zacząłem od opisu ataku tylko od mojej propozycji (wymyślonej w parę minut, więc prawdopodobnie dalekiej od doskonałości) jak takie blokowanie powinno wyglądać od strony systemu (że po minucie się odblokowuje), argumentując, że takie ograniczenie pasma jest wystarczające aby uniemożliwić odkrycie prawdziwych loginów. Próba nieudanych logowań może trwać powiedzmy przez dwa tygodnie (albo i No właśnie ja się trzymam mojej wersji z założeniem, że tego nie da się potwierdzić. Nie że w obecnych systemach się nie da, tylko, że takie było moje założenie w pierwszej mojej wypowiedzi. Nie wiem, czy tak to jest robione, ale w pierwszym podejściu uważam, że z komputera użytkownika do systemu powinny być przesyłane: - login - zestaw: (hasło+tzw. sól) wydłużony kryptograficznie o minimum 20 bitów (na PC zajmie około 1s). Dopiero długi (np. 256 bitów) wynik jest przesyłany. Sól to dość długa (np. 128 bitów) jawna! stała dla danego użytkownika, ale dla każdego inna. Powoduje to, że atakujący sprawdzając wszystkie domniemane hasła nie może wykorzystać efektu skali. Nie może raz wyliczyć wydłużenia hasła i sprawdzić je dla miliona loginów tylko musi dla jednego sprawdzanego hasła obliczać to wydłużenie milion razy. A próbowanie wysyłania losowych wartości wyników (tych 256 bitów) mija się z celem ze względu na liczbę kombinacji. Z technicznego punktu widzenie obrona banku przed takim, jak toMoja teza (od początku) jest taka, że blokowanie na minutę (XX minut) jest wystarczające dla uniemożliwienia znalezienia atakującemu prawdziwego hasła (nie chodzi o to, że ten atak ma to na celu, tylko o spełnienie celu dla którego stosowane jest blokowanie po 3 nieudanych próbach), a jednocześnie zabezpiecza bank przed lawiną telefonów o zablokowanym loginie. I druga jest taka, że dodatkowo bank nie powinien pozwolić odkryć używanych loginów. I trzecia że tylko jeden na 1000 losowych loginów powinien trafiać w używany login. P.G. |
|
Data: 2010-08-12 10:03:50 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Thu, 12 Aug 2010 11:08:05 +0200, Piotr Gałka napisał(a):
Moja teza (od początku) jest taka, że blokowanie na minutę (XX minut) Ale tutaj kompletnie o to nie chodzi. Każdy użytkownik logując się aktualnie w banku na swój login ma możliwość zablokowania sobie konta. Tak jak w przypadku PIN są to 3 próby. I tylko o to chodzi o jak największą ilość zablokowanych kont. Właśnie mi przyszedł do głowy kolejny pomysł. Skanuje pod bankomatem karty ile się da, ale bez PINów, później je blokuję wpisując błędnie 3 raz zły PIN. Też może to wywołać małe albo i większe zamieszanie w banku, tak sądzę. -- xbartx |
|
Data: 2010-08-12 12:14:33 | |
Autor: Piotr Gałka | |
Zablokowanie dostępu przez www do konta w banku | |
Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i40gu5$3dg$1inews.gazeta.pl...
To nie budzi żadnych wątpliwości. Ja jedynie zasugerowałem jak by to mogło być, aby radykalnie ograniczyć możliwość złośliwego blokowania kont. P.G. |
|
Data: 2010-08-12 11:26:24 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Thu, 12 Aug 2010 12:14:33 +0200, Piotr Gałka napisał(a):
To nie budzi żadnych wątpliwości. Być może. Mi chodziło o mniej więcej podobny przypadek jak ten: http://preview.tinyurl.com/wielki-ddos W końcu ktoś może powiedzieć sprawdzam i to wiedziony jeno zwykła ludzką ciekawością ;) -- xbartx |
|
Data: 2010-08-12 12:18:13 | |
Autor: mvoicem | |
Zablokowanie dostępu przez www do konta w banku | |
(12.08.2010 12:03), xbartx wrote:
Dnia Thu, 12 Aug 2010 11:08:05 +0200, Piotr Gałka napisał(a): Ale tak się często dzieje. Wystarczy że zainstalujesz skaner i poczekasz aż go odkryją. Blokada wszystkich kart które się przewinęły przez ten bankomat w ostatnim czasie murowana. p. m. |
|
Data: 2010-08-12 11:24:28 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Thu, 12 Aug 2010 12:18:13 +0200, mvoicem napisał(a):
Ale tak się często dzieje. Wystarczy że zainstalujesz skaner i poczekasz Ano fakt, tylko wtedy, rozkłada się to jednak na więcej banków o czy mnie pomyślałem. -- xbartx |
|
Data: 2010-08-11 13:23:38 | |
Autor: Jan Strybyszewski | |
Zablokowanie dostępu przez www do konta w banku | |
xbartx pisze:
Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a): Ale jaki masz ten botnet 100tys kompow wiecej ? Chyba nie sadzisz ze bank pozwoli na kilka prob roznych loginow tego samego kompa. |
|
Data: 2010-08-11 13:10:25 | |
Autor: Liwiusz | |
Zablokowanie dostępu przez www do konta w banku | |
Jan Strybyszewski pisze:
Ale jaki masz ten botnet 100tys kompow wiecej ? Uważasz, że nie pozwoli na kilka prób? -- Liwiusz |
|
Data: 2010-08-11 14:20:36 | |
Autor: Jan Strybyszewski | |
Zablokowanie dostępu przez www do konta w banku | |
Liwiusz pisze:
Jan Strybyszewski pisze: Dla roznych "loginów" w jednej sesji "ciasteczkowej" Pamietaj iz taki bootnet musiałby byc bardzo sprytny |
|
Data: 2010-08-11 21:21:25 | |
Autor: Rafał | |
Zablokowanie dostępu przez www do konta w banku | |
W dniu 2010-08-11 14:20, Jan Strybyszewski pisze:
Dla roznych "loginów" w jednej sesji "ciasteczkowej" Alior pozwoli. Kiedyś zapomniałem loginu i testowałem co mi do głowy przyszło. I tak całkiem długo. -- Raf |
|
Data: 2010-08-12 02:50:44 | |
Autor: Animka | |
Zablokowanie dostêpu przez www do konta w banku | |
W dniu 2010-08-11 21:21, Rafa³ pisze:
W dniu 2010-08-11 14:20, Jan Strybyszewski pisze: Wiêcej ni¿ 3 razy z jednego IP Ci siê nie uda. -- animka |
|
Data: 2010-08-11 11:47:09 | |
Autor: Michal Tyrala | |
Zablokowanie dostępu przez www do konta w banku | |
On Wed, 11 Aug 2010 11:07:15 +0200, Piotr Ga³ka wrote:
W³a¶nie wspomniany przez mnie brak informacji, czy konto prawid³owe, czy nie, wp³ynie na zmniejszenie liczby zablokowanych takim atakiem _istniej±cych_ kont. Mo¿na tak zrobiæ, ¿e tylko co setny (albo co tysiêczny) losowo wybrany login bêdzie prawdziwym loginem jakiego¶ konta. Jakis bank przydziela identyfikatory (loginy) klientom kolejno co jeden? -- Micha³ wiesiu jest spamtrapem. ja jestem kbns |